网络安全应急事件响应指导手册.docx
《网络安全应急事件响应指导手册.docx》由会员分享,可在线阅读,更多相关《网络安全应急事件响应指导手册.docx(44页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网络安全应急事件响应指导手册目录一、 说明5二、 第1章 勒索病毒5一状态判断5(一)电脑桌面被篡改5(二)文件后缀被篡改6(三)业务系统无法访问6(四)安全设备告警7二响应措施及应急处理流程7(一)隔离受感染的主机7(二)工作环境风险排除7(三)寻求专业的安全解决方案8(四)恢复系统9三应避免的错误处置行为10(一)使用移动存储设备10(二)读写中招主机上的磁盘件10四防治建议10(一)增强安全意识10(二)增加口令强度10(三)修复系统/应用漏洞10(四)端口管理11五应急实例11(一)Sage11三、 第2章 挖矿木马13一状态判断13(一)CPU使用率过高13(二)检测到异常外联13二
2、响应措施及应急处理流程13(一)隔离受感染的主机13(二)清除木马及相关文件13(三)工作环境风险排除13三防治建议14(一)增强安全意识14(二)增加口令强度14(三)修复系统/应用漏洞14(四)端口管理14(五)防护软件14四应急实例14(一)挖矿病毒一14(二)挖矿病毒二17四、 第3章 暴力破解21一状态判断21(一)FTP暴力破解21(二)SSH暴力破解21(三)RDP暴力破解21二响应措施及应急处理流程21(一)登录账号口令检查21(二)服务转移或关闭21(三)安全日志审查21三防治建议22四应急实例22(一)FTP暴力破解22(二)SSH暴力破解26五、 第4章 植入后门29一状
3、态判断29(一)内容篡改29(二)异常进程/任务29(三)安全日志巡检29(四)系统信息查看29二响应措施及应急处理流程29(一)文件分析29(二)进程分析29(三)日志信息分析30(四)账户相关性检查30三防治建议30四应急实例30(一)网站被植入Webshell30六、 第5章 劫持篡改34一状态判断34(一)DNS劫持34(二)http劫持34(三)网站内容劫持篡改34(四)搜索引擎劫持34二相应措施及应急处理流程34(一)网站劫持34(二)搜索引擎劫持34(三)网站内容被篡改34三防治建议35四应急实例35(一)新闻源网站劫持35(二)搜索引擎劫持37(三)网站首页被篡改38(四)管理
4、员账号被篡改41七、 第6章 证据固定42一日志记录43二规则/配置文件43三网络流量包43四DNS解析记录43五*恶意文件(需特别注意)43八、 第7章 相关资料44一、 说明本手册包含了勒索病毒、挖矿木马、暴力破解、后门植入以及劫持篡改五类常见应急事件的判断方法和处置措施,安全运维人员在遭遇上述事件时可参考使用。二、 第1章 勒索病毒勒索病毒,攻击者利用各种加密算法对数据文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失,是近年来流行的病毒类型之一,主要有以下几种类型
5、: 对被攻击机器内的文件进行加密 对磁盘分区直接加密 劫持操作系统引导区,禁止用户正常登录操作系统一 状态判断(一) 电脑桌面被篡改计算机感染勒索病毒后,攻击者会在系统明显位置如桌面上留下标记,通常会出现新的文本/网页文件用于说明如何解密的信息。或直接更改桌面壁纸,显示勒索提示信息及解密联系方式,引导被攻击者交赎金。(二) 文件后缀被篡改勒索病毒一般会通过修改被加密文件的原始后缀来标识被其加密过的文件。被修改后的文件后缀通常为勒索病毒的名称或代表标志,如:l Satan勒索常见后缀:.satan、.sick、.evopro等l Sacrab勒索常见后缀:.krab、.Sacrab、.bombe
6、r、.Crash等l Matrix勒索常见后缀:.GRHAN、.PRCP、.SPCT、.PEDANT等l GANDCRAB勒索常见后缀:CRAB、.GRAB、KRAB、随机字母等(三) 业务系统无法访问于企业而言,勒索病毒的攻击目标自2018年开始不再局限于核心业务文件,企业的服务器及业务系统成为了攻击者的攻击目标。感染企业关键系统、破坏企业日常运营,甚至对生产线中难以升级、打补丁的系统和各种硬件进行攻击。但是当业务系统出现无法访问、生产线停产等现象时,并不能完全确定是服务器感染了勒索病毒,也有可能是受到DDoS攻击或是中了其他病毒等原因所致,所以还需要结合前面的特征来判断。(四) 安全设备告
7、警部分安全软件/设备可支持勒索病毒的监测,可通过告警来判断。二 响应措施及应急处理流程(一) 隔离受感染的主机1. 物理隔离物理隔离常用的操作方法是断网和关机。断网、拔掉网线或禁用网卡,笔记本也要禁用无线网络。2. 逻辑隔离逻辑隔离常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。修改登录密码的主要操作为:首先,立刻修改被感染服务器的登录密码;其次,修改
8、同一局域网下的其他服务器密码;最后,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。对于已经中毒的机器,建议在内网下线处理,后续确认清理病毒完毕确认无风险后才能重新接入网络,避免病毒横向传播导致局域网内其它机器被动染毒。(二) 工作环境风险排除在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。内网其他未中毒的电脑,使用弱口令登录的建议尽快修改,使用由字母、数字和特殊字符组合的复杂
9、密码,并杜绝多台机器使用同一密码,避免攻击者暴力破解成功(企业网管可配置强制使用强壮密码,杜绝使用弱密码登录),具体流程可参考以下部分:1. 检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。2. 检查是否开启高风险服务、端口,如:212223258013513944344533063389,以及不常见端口号。linux下root权限使用命令:netstat -tnlp;windows下使用命令netstat -ano | findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。终端用户若不
10、使用远程桌面登录服务,建议关闭;局域网内已发生勒索病毒入侵的,可暂时关闭135,139,445,3389,5900端口以减少远程入侵的可能。3. 检查机器防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。4. 检查机器ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$D$E$分别代表默认共享出C、D、E盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享用不到的情况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del等。5. 检查
11、机器是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置-管理模板-系统-“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。6. 检查机器安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HT
12、TP File Server 2.1.2等。7. 检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。8. 检查本机系统补丁是否安装到最新,可使用安全终端提供的漏洞修复功能(三) 寻求专业的安全解决方案在应急自救处置后,建议第一时间联系专业的安全人员寻求帮助,对事件的感染时间、传播方式,感染家族等问题进行排查,进行更进一步的安全补救措施。(四) 恢复系统一 历史备份还原如果事前已经对文件进行了备份,那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,
13、已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。事先进行备份,既是最有效也是成本最低的恢复文件的方式。二 解密工具恢复大部分勒索病毒使用128位密钥的AES(对称加密算法)加密文件,再将AES的密钥使用2048位密钥的RSA(非对称加密算法)加密,通过暴力破解来解密是不科学的,所以通常的解密工具是通过已公开的密钥来解密。而密钥来源有三种途径:l 破解勒索程序得到,前提是勒索程序本身存在漏洞,但此概率极低。l 勒索者对受害人感到愧疚、同情等极端情况而公开密钥。l 执法机构获得勒索者的服务器,同时服务器上存储着密钥且执法机构选择公开。除了付费解
14、密的工具,还可尝试国际刑警组织反勒索病毒网站提供的解密工具:(https:/www.nomoreransom.org/zh/index.html)三 专业人员支付解密勒索病毒的赎金一般为比特币或其他数字货币,数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在:1)统计显示,95%以上的勒索病毒攻击者来自境外,由于语言不通,容易在沟通中产生误解,影响文件的解密。2)数字货币交付需要在特定的交易平台下进行,不熟悉数字货币交易时,容易人财两空。所以,即使支付赎金可以解密,也不建议自行支付赎金。但当数据十分重要且上述其他方法都无法恢复,最终经过综合评判,确定需要支付赎金以尝试解密时
15、,也建议听取安全专家或警方人员的建议以及综合判断,谨慎处置。请联系专业的安全公司或数据恢复公司进行处理,以保证数据能成功恢复。四 重装系统当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。三 应避免的错误处置行为(一) 使用移动存储设备部分勒索病毒具备感染移动设备的能力,此时若在病毒机器上使用移动设备,移动设备也将进一步被感染,形成一个移动的病毒源,进而给其它使用该设备的机器带来潜在风险。另外在染毒机器
16、环境中插入移动设备,可能会导致移动设备中的重要数据也被加密,进而扩大灾情。(二) 读写中招主机上的磁盘件当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。很多流行勒索病毒的基本加密过程为:(1)将保存在磁盘上的文件读取到内存中;(2)在内存中对文件进行加密;(3)将修改后的文件重新写到磁盘中,并将原始文件删除。部分情况下,遭受勒索病毒攻击后,使用专业的文件恢复工具有概率进一步找到部分被加密文件加密前的原始数据,进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作,会破坏磁盘中存放的原始文件数据,进而丢失恢复
17、原始文件的机会。四 防治建议(一) 增强安全意识l 不访问色情、博彩等等不良信息网站,这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。l 不轻易下载陌生人发来的邮件附件,不点击陌生邮件中的链接。l 不随意使用陌生U 盘、移动硬盘等外设,使用时切勿关闭防护软件比如Windows 自带的Windows defender,避免拷入恶意文件。l 不轻易运行bat、vbs、vbe、js、jse、wsh、wsf 等后缀的脚本文件和exe可执行程序,不轻易解压不明压缩文件,避免感染病毒。l 定期查杀病毒,清理可疑文件,备份数据。(二) 增加口令强度强密码长度不少于8 个字符,至少包含以下四类字符中的
18、三类:大小写字母、数字、特殊符号。不能是人名、计算机名、用户名、邮箱名等,避免攻击者利用服务弱口令进行攻击。(三) 修复系统/应用漏洞定期检测应用并修复漏洞,及时更新应用版本。关注微软安全响应中心((四) 端口管理关闭不必要的端口,通过防火墙配置、安全软件隔离或准入管理,配置端口、服务访问权限。五 应急实例(一) Sage1. 应急场景网站管理员打开OA系统,首页访问异常,显示乱码:2. 事件分析登录网站服务器进行排查,在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下都有一个!HELP_SOS.hta文件,打包了部分样本:打开!HELP_SOS.hta文件,显示
19、如下:到这里,基本可以确认是服务器中了勒索病毒。3. 处置措施上传样本到360勒索病毒网站()进行分析:确认web服务器中了sage勒索病毒,目前暂时无法解密。绝大多数勒索病毒,是无法解密的,一旦被加密,即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作,数据库与源码分离(类似OA系统附件资源也很重要,也要备份)。可尝试的勒索病毒解密工具: “拒绝勒索软件”网站https:/www.nomoreransom.org/zh/index.html 360安全卫士勒索病毒专题三、 第2章 挖矿木马攻击者将挖矿程序非法植入受害者的计算机中,在受害者不知情的情况下利用其计算机的算力进行挖矿
20、,从而获取利益。这类挖矿程序即为挖矿木马。一 状态判断(一) CPU使用率过高挖矿需要消耗大量的CPU资源,当发现服务器CPU使用率过高甚至接近100%,且查看系统进程发现有不明程序占用大量CPU资源时,服务器很大可能被种植了挖矿木马。(二) 检测到异常外联挖矿木马需要连接到矿池或者代理服务器将算力共享出去,当检测到服务器有主动的对外连接行为时,应当警惕服务器是否可能中毒。部分安全软件或设备内置了矿池黑名单,检测到流量中包含了矿池地址时会触发告警,但目前已经有黑客通过配置中间代理的方式来规避黑名单检测,因此建议综合CPU使用情况来判断中毒情况。二 响应措施及应急处理流程(一) 隔离受感染的主机
21、建议将感染的主机在内网下线处理,避免病毒横向传播导致局域网内其它机器被动染毒。已感染的主机需要断网(拔掉网线或禁用网卡),待后续确认清理病毒完毕确认无风险后才能重新接入网络。(二) 清除木马及相关文件1. 删除计划任务,结束病毒进程并删除服务2. 删除下载或释放的病毒文件3. 删除病毒创建的注册表项4. 删除病毒设置的防火墙栏目(三) 工作环境风险排除在隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被攻击等,以确定感染的范围。具体排查项可参考以下部分:1. 是否开启不必要的高危端口(如21、80、135、139、443、3
22、389等)2. 检查本机Office、Adobe、浏览器等软件是否更新到最新版本及安装最新补丁。3. 检查本机系统补丁是否安装到最新。4. 检查系统及数据库密码是否存在弱口令,口令要求长度不少于8 位,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号。5. 系统是否安装专业的杀毒软件。三 防治建议(一) 增强安全意识l 不访问色情、博彩等等不良信息网站,这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。l 不轻易下载陌生人发来的邮件附件,不点击陌生邮件中的链接。l 不随意使用陌生U 盘、移动硬盘等外设,使用时切勿关闭防护软件比如Windows 自带的Windows defende
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 应急 事件 响应 指导 手册
限制150内